Verdien tot 2 ton met vondst server-side bug

De premie is onderdeel van het nieuwe Targeted Incentive Program (TIP) van het Zero Day Initiative (ZDI). Het ZDI is heel succesvol zoals blijkt uit de meer dan 600 adviezen die alleen al dit jaar op basis van meldingen van onderzoekers werden gedaan.

Dit programma is echter ongestructureerd. Daarom is het nu tijd om onderzoekers met het TIP te richten op specifieke doelwitten die ofwel voor ons van belang zijn of de beveiliging van onze klanten verbetert, zegt Brian Gorenc, ZDI Director of Vulnerability Research in een blog.

Voor het TIP zijn in eerste instantie 6 doelwitten geselecteerd. Aan elk van de doelwitten hangt een premie die echter alleen wordt uitgekeerd aan de eerste waardevolle melding. Die melding moet bovendien gedaan worden binnen een afgebakend tijdskader.

Zodra de premie is geclaimd verdwijnt het doel uit de lijst en komt er een nieuwe voor in de plaats. Meldingen moeten zijn voorzien van een volledig functionerende exploit. Een proof of Concept alleen is niet voldoende. Bovendien moet de bug in potentie de mogelijkheid hebben om wijzigingen in de code van de kern aan te brengen.

Na de melding aan de betreffende leveranciers van de code krijgen zij 120 dagen om de bug te repareren voordat deze publiekelijk kenbaar wordt gemaakt.